Microsoft avertit les administrateurs que le mode d'application du contrôleur de domaine Netlogon sera bientôt activé par défaut

Dans un post sur le Centre de réponse de sécurité Microsoft Microsoft a averti les administrateurs réseau qu'une prochaine mise à jour de sécurité Windows signifiera bientôt que le mode d'application du contrôleur de domaine sera activé par défaut.

La décision consiste à résoudre un exploit de code distant critique dans le protocole Netlogon (CVE-2020-1472) où un attaquant peut établir une connexion de canal sécurisé Netlogon vulnérable à un contrôleur de domaine, à l'aide du protocole Netlogon Remote Protocol (MS-NRPC). Un attaquant qui parviendrait à exploiter la vulnérabilité pourrait exécuter une application spécialement conçue sur un appareil du réseau.

Après la mise à jour, les appareils se connecteront uniquement à l'aide de RPC sécurisé avec le canal sécurisé Netlogon, sauf si les clients ont explicitement autorisé le compte à être vulnérable en ajoutant une exception pour l'appareil non conforme. Cela bloquera les connexions vulnérables des appareils non conformes

Que faire

Pour se préparer, les administrateurs réseau doivent :

• MISE À JOUR leurs contrôleurs de domaine avec une mise à jour publiée le 11 août 2020 ou une version ultérieure.
• IDENTIFIER quels appareils établissent des connexions vulnérables en surveillant les journaux d'événements.
• ADRESSE périphériques non conformes établissant des connexions vulnérables.
• ACTIVER Mode d'application du contrôleur de domaine à adresser CVE-2020-1472 dans votre environnement.

Les administrateurs doivent examiner la mise à jour FAQ des conseils d'août pour clarifier davantage ce changement à venir.

La mise à jour de sécurité qui permet de passer en mode d'application du contrôleur de domaine sera déployée lors du prochain patch mardi, le 9 février 2021.

En savoir plus sur les changements chez Microsoft ici.